Bonjour à tous,
Ce jour je reçois un email d'un client annonçant avoir reçu du spam de notre part, dont copie:
_ Date: Fri, 13 Nov 2009 12:11:35 +0100
_ To: *****@hotmail.com
_ Subject: New Offer
_ From: administator@*****.com
_
_
_ Hello
_ http://fcuj8.tk/
_
Je m'en étonne et ne porte pas attention. Mais deux heures plus tard 4 autres clients nous ont contactés!
Je ne vois pas du tout d'où cela peut venir et ne sait comment solutionner ce soucis. Pouvez vous m'aider?
Version complète : Mon site hacké ce jour?
Mon osc:
osCommerce 2.2-MS2
osCommerce 2.2-MS2
Nuxit, mon hébergeur, confirme le soucis. Voir entête de mail ci-dessous.
Comment trouver la source du soucis et le solutionner?
Received: (qmail 13331 invoked by uid 33); 13 Nov 2009 12:40:56 +0100
Date: 13 Nov 2009 12:40:56 +0100
Message-ID: <20091113114056.13325.qmail@de**.ispfr.net>
To: "i****** k*******" <jeanbxc***@yahoo.fr>
Subject: New Offer
From: administator@*****.com
MIME-Version: 1.0
X-Mailer: osCommerce
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 7bit
Comment trouver la source du soucis et le solutionner?
Received: (qmail 13331 invoked by uid 33); 13 Nov 2009 12:40:56 +0100
Date: 13 Nov 2009 12:40:56 +0100
Message-ID: <20091113114056.13325.qmail@de**.ispfr.net>
To: "i****** k*******" <jeanbxc***@yahoo.fr>
Subject: New Offer
From: administator@*****.com
MIME-Version: 1.0
X-Mailer: osCommerce
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 7bit
Bonsoir,
J'ai exactement le même problème. De la part de "administator@****.fr" et puis une 2ème fois quelques heures plus tard dans le même style; Même contenu du message, à savoir un lien vers une vente de Viagra.
Mon hébergeur me ménace parce que j'envoie trop d'e-mails dans la nature, mais ne propose pas de vraies solutions ("c'est pas nous qui avons installé vote boutique").
Si quelqu'un a une solution j'en serais très reconnaissant - j'avoue que ceci m'inquiète beaucoup...
Merci par avance,
David
J'ai exactement le même problème. De la part de "administator@****.fr" et puis une 2ème fois quelques heures plus tard dans le même style; Même contenu du message, à savoir un lien vers une vente de Viagra.
Mon hébergeur me ménace parce que j'envoie trop d'e-mails dans la nature, mais ne propose pas de vraies solutions ("c'est pas nous qui avons installé vote boutique").
Si quelqu'un a une solution j'en serais très reconnaissant - j'avoue que ceci m'inquiète beaucoup...
Merci par avance,
David
Dans mon fichier "mail log", je trouve ceci :
2009-11-11 20:19:54 u50507744 4AgL8k-1N8IjS3gjs-0008Tf <=
> > S=administator@********.fr SZ=780 D=0 SID=256591436
> > 2009-11-11 20:19:55 u50507744 4AgL8k-1N8IjS3gjs-0008Tf =>
> > ****nd057@hotmail.fr msmtp.kundenserver.de[172.19.35.7] 250
> > Message 0MOmRO-1N4Si50HFm-006Gyy accepted by mreu2.kundenserver.de
> > 2009-11-11 20:19:55 u50507744 4AgL8k-1N8IjS3gjs-0008Tf =>
> > ****nd057@hotmail.fr msmtp.kundenserver.de[172.19.35.7] 250
> > Message 0MOmRO-1N4Si50HFm-006Gyy accepted by mreu2.kundenserver.de
> > 2009-11-11 20:19:55 u50507744 4AgL8k-1N8IjT0CAf-0008Tv |<
> > REMOTE=64.186.244.174 SCRIPT=/catalog/admin/mail.php --
> > /usr/sbin/sendmail -t -i
C'est la première trace du fameux "administator", et le script utilisé est /catalog/admin/mail.php
J'ai vérifié que le script mail.php est exactement le même qu'avant le piratage, donc pas de modification malveillante.
Reste à savoir quoi faire pour éviter d'autres attaques, et là, je n'ai aucune idée...
2009-11-11 20:19:54 u50507744 4AgL8k-1N8IjS3gjs-0008Tf <=
> > S=administator@********.fr SZ=780 D=0 SID=256591436
> > 2009-11-11 20:19:55 u50507744 4AgL8k-1N8IjS3gjs-0008Tf =>
> > ****nd057@hotmail.fr msmtp.kundenserver.de[172.19.35.7] 250
> > Message 0MOmRO-1N4Si50HFm-006Gyy accepted by mreu2.kundenserver.de
> > 2009-11-11 20:19:55 u50507744 4AgL8k-1N8IjS3gjs-0008Tf =>
> > ****nd057@hotmail.fr msmtp.kundenserver.de[172.19.35.7] 250
> > Message 0MOmRO-1N4Si50HFm-006Gyy accepted by mreu2.kundenserver.de
> > 2009-11-11 20:19:55 u50507744 4AgL8k-1N8IjT0CAf-0008Tv |<
> > REMOTE=64.186.244.174 SCRIPT=/catalog/admin/mail.php --
> > /usr/sbin/sendmail -t -i
C'est la première trace du fameux "administator", et le script utilisé est /catalog/admin/mail.php
J'ai vérifié que le script mail.php est exactement le même qu'avant le piratage, donc pas de modification malveillante.
Reste à savoir quoi faire pour éviter d'autres attaques, et là, je n'ai aucune idée...
J'ai appliqué ça:
There is a way for spammers to exploit your contact_us.php page.
To stop this from happening add the following:
CODE
$to_name = preg_replace('/[\n|\r].*/', '', $to_name);
$email_subject = preg_replace('/[\n|\r].*/', '', $email_subject);
$from_email_name = preg_replace('/[\n|\r].*/', '', $from_email_name);
Directly under:
function tep_mail($to_name, $to_email_address, $email_subject, $email_text, $from_email_name, $from_email_address) {
if (SEND_EMAILS != 'true') return false;
in includes/functions/general.php
Vous pensez que cela peut être la raison?
There is a way for spammers to exploit your contact_us.php page.
To stop this from happening add the following:
CODE
$to_name = preg_replace('/[\n|\r].*/', '', $to_name);
$email_subject = preg_replace('/[\n|\r].*/', '', $email_subject);
$from_email_name = preg_replace('/[\n|\r].*/', '', $from_email_name);
Directly under:
function tep_mail($to_name, $to_email_address, $email_subject, $email_text, $from_email_name, $from_email_address) {
if (SEND_EMAILS != 'true') return false;
in includes/functions/general.php
Vous pensez que cela peut être la raison?
Franchement, je n'en ai pas la moindre idée, mais je l'ai ajouté en croisant les doigts. Merci beaucoup pour le renseignement.
On se tient au courant...
Bonjour,
En fait, il est possible (mais psssible seulement) que ce soit contact_us.php qui a envoyé les mails.
Bah oui, un formulaire sur un site pour envoyer à n'importe quelle adresse mail, c'est du pain béni pour les spammeurs, il n'y a qu'à remplir les champs.
A mon avis, ce code ne réglera rien. En effet, tu récupères les champs postés par le spammeur et tu vires les sauts de ligne. Cela pourrait être utile pour empêcher d'utiliser frauduleusement la page (et encore) mais comme le spammeur l'utilise presque normalement (seul le champ from est détourné pour mettre son mail), ça ne suffit pas.
Il faut rajouter un captcha ou autre solution antibot.
Mais c'est dans le cas où c'est la page contact_us.php qui est utilisée.
Moi je pense que tous les deux vous n'avez pas renommé (ni sécurisé par .htaccess) votre admin - pas bien... il est marqué dans la faq que c'est impératif pour préserver son site - et que le spammeur utilise directement la page de mailing de l'admin.
Le mieux serait déjà de commencer par lire la FaQ et appliquer tous les conseils dedans, pour commencer.
Bon WE
En fait, il est possible (mais psssible seulement) que ce soit contact_us.php qui a envoyé les mails.
Bah oui, un formulaire sur un site pour envoyer à n'importe quelle adresse mail, c'est du pain béni pour les spammeurs, il n'y a qu'à remplir les champs.
A mon avis, ce code ne réglera rien. En effet, tu récupères les champs postés par le spammeur et tu vires les sauts de ligne. Cela pourrait être utile pour empêcher d'utiliser frauduleusement la page (et encore) mais comme le spammeur l'utilise presque normalement (seul le champ from est détourné pour mettre son mail), ça ne suffit pas.
Il faut rajouter un captcha ou autre solution antibot.
Mais c'est dans le cas où c'est la page contact_us.php qui est utilisée.
Moi je pense que tous les deux vous n'avez pas renommé (ni sécurisé par .htaccess) votre admin - pas bien... il est marqué dans la faq que c'est impératif pour préserver son site - et que le spammeur utilise directement la page de mailing de l'admin.
Le mieux serait déjà de commencer par lire la FaQ et appliquer tous les conseils dedans, pour commencer.
Bon WE
Bonjour,
Mon contact us a la fonction de code à retranscrire pour envoyer le message.
Egalement, j'ai le système htaccess :/
Mon contact us a la fonction de code à retranscrire pour envoyer le message.
Egalement, j'ai le système htaccess :/
Merci beaucoup pour votre réponse. J'avoue qu'en tant que nul je ne comprends pas exactement ce qu'il faut que je fasse pour renommer et sécuriser mon admin, mais je vais chercher dans le FAQ
Bon weekend à vous aussi.
David
Bon
J'ai créé un htaccess pour mon répertoire admin.
Par contre, quand renomme ce répertoire (ayant changé le contenu du fichier "configure"), ça ne marche plus. Sûrement parce qu'il faut faire d'autres changements de nom un peu partout dans les fichiers de la boutique ?? Ou y a-t-il un nombre relativement réduit de fichiers à modifier ? Si oui, lesquels ?
Merci encore pour l'aide précieuse que je glane (péniblement mais sûrement) sur ce forum
J'ai créé un htaccess pour mon répertoire admin.
Par contre, quand renomme ce répertoire (ayant changé le contenu du fichier "configure"), ça ne marche plus. Sûrement parce qu'il faut faire d'autres changements de nom un peu partout dans les fichiers de la boutique ?? Ou y a-t-il un nombre relativement réduit de fichiers à modifier ? Si oui, lesquels ?
Merci encore pour l'aide précieuse que je glane (péniblement mais sûrement) sur ce forum
Comme le souligne Nozic, si c'est le mail.php de l'admin qui est utilisé c'est que l'admin n'est pas protégé donc :
1/ renommer le dossier admin/ => un seul script à modifier: le configure.php de l'admin où il faut modifier le chemin de admin/
2/ placer un htaccess de protection sur le nouveau dossier d'admin
Ces deux opérations sont IMPERATIVES pour une sécurité fiable.
Après, pour le script contact_us.php de la boutique, un captcha est indispensable.
On peut aussi effectuer une protection assez simple qui fonctionne souvent : le piège à bot.
D'abord il faut modifier le nom du champ 'email' en n'importe quoi exemple 'zorglub_txt'
il faut alors penser à modifier le traitement de cette variable $HTTP_POST_VARS['email'] de la même manière qui devient pour cet exemple : $HTTP_POST_VARS['zorglub_txt']
Puis une fois que le script fonctionne correctement avec le nouveau champ, ajouter un champ caché 'email' : tep_draw_hidden_field('email')
si ce champ se trouve rempli dans le formulaire, c'est que c'est assurément un bot qui l'a fait et donc on bloque l'envoi. C'est enfantin et ça marche assez bien.
1/ renommer le dossier admin/ => un seul script à modifier: le configure.php de l'admin où il faut modifier le chemin de admin/
2/ placer un htaccess de protection sur le nouveau dossier d'admin
Ces deux opérations sont IMPERATIVES pour une sécurité fiable.
Après, pour le script contact_us.php de la boutique, un captcha est indispensable.
On peut aussi effectuer une protection assez simple qui fonctionne souvent : le piège à bot.
D'abord il faut modifier le nom du champ 'email' en n'importe quoi exemple 'zorglub_txt'
il faut alors penser à modifier le traitement de cette variable $HTTP_POST_VARS['email'] de la même manière qui devient pour cet exemple : $HTTP_POST_VARS['zorglub_txt']
Puis une fois que le script fonctionne correctement avec le nouveau champ, ajouter un champ caché 'email' : tep_draw_hidden_field('email')
si ce champ se trouve rempli dans le formulaire, c'est que c'est assurément un bot qui l'a fait et donc on bloque l'envoi. C'est enfantin et ça marche assez bien.
Merci beaucoup pour ton aide, Gnidhal
Je n'arrivais pas à changer le nom de l'admin dans le fichier configure parce que j'avais laissé les attributs à 444...
Encore un pas de franchi sur la courbe d'apprentissage...
Je n'arrivais pas à changer le nom de l'admin dans le fichier configure parce que j'avais laissé les attributs à 444...
Encore un pas de franchi sur la courbe d'apprentissage...
Bon j'ai renommé le dossier admin, ca fonctionne.
Par contre, je place comment un htaccess sur l'admin?
Y a pas un tuto pour ça?
Merci
Par contre, je place comment un htaccess sur l'admin?
Y a pas un tuto pour ça?
Merci
Il suffit de :
- écrire un ficher (tu recopies les lignes indiquées dans le FAQ, puis tu en changes le chemin d'accès et les noms des répertoires) avec un editeur de texte (j'utilise Notepad++, qui est très bien et gratuit)
- l'enregistrer sous le nom .htaccess
- le placer sur ton serveur dans le dossier qui s'appellait anciennement "admin" avec ton client ftp.
J'ai suivi la suggestion du FAQ et j'ai mis le mot de passe dans un autre repertoire.
- écrire un ficher (tu recopies les lignes indiquées dans le FAQ, puis tu en changes le chemin d'accès et les noms des répertoires) avec un editeur de texte (j'utilise Notepad++, qui est très bien et gratuit)
- l'enregistrer sous le nom .htaccess
- le placer sur ton serveur dans le dossier qui s'appellait anciennement "admin" avec ton client ftp.
J'ai suivi la suggestion du FAQ et j'ai mis le mot de passe dans un autre repertoire.
ok ça semble marché.
J'ai mis le .htaccess dans l'ancien rep admin, et le pass dans un sous repertoire d'admin.
Peut-on mettre plusieurs login et pass dans le fichier htpassword?
J'ai mis le .htaccess dans l'ancien rep admin, et le pass dans un sous repertoire d'admin.
Peut-on mettre plusieurs login et pass dans le fichier htpassword?
J'avoue que je ne l'ai pas essayé - tu peux peut-être expérimenter ?
Ceci est une version "bas débit" de notre forum. Pour voir la version complète avec plus d'informations, la mise en page et les images, veuillez cliquer ici.